Citrix DaaS 的本地 StoreFront 身份验证参考架构
将 Citrix StoreFront 托管在客户数据中心内而不是使用 Citrix Workspace 平台的原因有很多。由于某些环境的复杂性,需要了解当 StoreFront 是该服务的主要用户前端时 Citrix Cloud 组件如何与 StoreFront 和 Active Directory 进行交互。
虽然 Citrix Workspace 可以满足 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)的大多数用例的要求,但有些用例和要求需要在客户的数据中心或资源位置托管 StoreFront。
维护本地 StoreFront 的理由
- 支持 Cloud Connector 中的本地主机缓存功能
- Citrix Workspace 不支持使用智能卡身份验证
- 非默认应用商店配置(web.config 更改)
- 为内部和外部用户托管多个商店配置
本文介绍高级体系结构以及这些组件如何与 Active Directory 设计支持的各种身份验证方案进行交互。Cloud Connectors 将加入其中一个域,允许 Citrix DaaS 分配该域或可信域的 Active Directory 用户和群组。Cloud Connector 还将充当 StoreFront 和 Citrix Gateway 组件的 Delivery Controller 和 STA 服务器。
本文假设 StoreFront 和网关组件一起托管在每个数据中心中。
父子域作为资源域
在这种情况下,子域充当虚拟桌面代理 (VDA) 和 StoreFront 实例的资源域。父域包含将要访问子域中资源的用户。
- Cloud Connector 仅加入子域。子域和父域之间的双向传递信任允许 Cloud Connector 与父域中的全局目录进行通信。
- StoreFront 已加入子域。应用商店身份验证配置为用户名/密码和来自 Citrix Gateway 的直通。用户名/密码身份验证配置为信任任何域。
- Citrix Gateway 身份验证配置文件已为父域配置为使用 UPN 作为主要登录方法。如果有用户需要从子域进行身份验证,则子域的 LDAP 身份验证配置文件和策略也必须绑定到网关虚拟服务器。
- 编辑 Citrix Gateway 会话操作系统和 Web 配置文件并将已发布的应用程序/单点登录域设置为空白(可能需要设置覆盖设置)。
连接工作流
- User@corp.com 登录 Citrix Gateway。Gateway 通过身份验证配置文件查找用户并匹配策略操作。
- 凭据将传递给 StoreFront。StoreFront 接受凭据并将其传递给 Cloud Connector(充当 Delivery Controller)
- Cloud Connector 查找 Citrix Cloud 所需的用户对象详细信息。
- Cloud Connector 将身份信息传递给 Citrix Cloud,身份令牌对用户进行身份验证并枚举分配给用户的资源。
- Cloud Connector 将分配的资源返回给 StoreFront 以供用户枚举。
- 当用户启动应用程序或桌面时,Citrix Gateway 使用配置的 Cloud Connector 生成 STA 票证请求。
- Citrix Cloud 代理管理资源域 Cloud Connector 与在该资源位置注册的 VDA 之间的会话。
- 在客户端、Citrix Gateway 和已解析的 VDA 之间建立会话。
外部可信域到资源域
在这种情况下,业务合作伙伴需要访问发布给企业用户的资源。公司域名是 corp.com,合作伙伴域名是 partner.com。
- 公司域对合作伙伴域具有传出外部信任。来自合作伙伴域的用户可以对加入公司域的资源进行身份验证。
- Citrix Cloud 客户需要两个资源位置:一个用于 corp.com Cloud Connector,另一个用于 partner.com Cloud Connector。partner.com Cloud Connector 仅用于对域进行身份验证和身份调用;它们不用于代理 VDA 或会话。
- StoreFront 已加入 corp.com 域名。corp.com 域中的 Cloud Connector 在存储配置中用作 Delivery Controller。应用商店身份验证配置为用户名/密码和来自 Citrix Gateway 的直通。用户名/密码身份验证配置为信任任何域。
- Citrix Gateway 身份验证配置文件已为 corp.com 域配置为使用 UPN 作为主要登录方法。为 partner.com 域配置第二个配置文件和策略以使用 UPN 并将其绑定到与 corp.com 域相同的网关虚拟服务器。
- 编辑 Citrix Gateway 会话操作系统和 Web 配置文件并将已发布的应用程序/单点登录域设置为空白(可能需要设置覆盖设置)。
注意:
根据外部受信任域的位置,外部域用户的启动时间可能比资源用户或父域用户长。
连接工作流
- User@partner.com 登录 Citrix Gateway。Gateway 通过与 UPN 查找匹配且与策略操作相匹配的身份验证配置文件来查找用户。
- 凭据将传递给 StoreFront。StoreFront 接受凭据并将其传递给 Cloud Connector(充当 Delivery Controller)。
- Cloud Connector 会查找 Citrix Cloud 所需的用户对象详细信息。
- Cloud Connector 将身份信息传递给 Citrix Cloud,身份令牌对用户进行身份验证并枚举分配给用户的资源。
- Cloud Connector 将分配的资源返回给 StoreFront 以供用户枚举。
- 当用户启动应用程序或桌面时,Citrix Gateway 使用配置的 Cloud Connector 生成 STA 票证请求,在本例中来自 child1.corp.com。
- Citrix Cloud 代理管理资源域 Cloud Connector 与在该资源位置注册的 VDA 之间的会话。
- 会话在客户端、Citrix Gateway 和已解析的 VDA 之间建立。
林信任/资源域的快捷方式信任
仅当将林和快捷方式信任域视为与资源域的外部域信任关系时,才支持林和快捷方式信任域。对于林信任,您可以按照外部可信域到资源域一节中介绍的相同步骤进行操作。此部分将来可能会更改,具体取决于用户和资源域/林之间原生林信任的可支持性。